# Loi sur le traitement de données à des fins de gestion administrative et financière au sein de l'État, du 5 décembre 2017 ## Art. 2 {#art_2} 1Est institué un fichier destiné à permettre le traitement de données conformément à la présente loi (ci-après: « fichier central »). 2Le Conseil d'État exerce la haute surveillance sur ce fichier. 3Il désigne la ou les entités chargées, dans le cadre de la tenue du fichier central, de : a) organiser administrativement la gestion ; b) tenir à jour le registre des bénéficiaires d’accès ; c) régler les conditions d’accès et d’utilisation ; d) contrôler l’exploitant ; e) s’assurer que les normes de sécurité sont suffisantes ; f) régler la procédure de destruction des historiques. Définitions ## Art. 3 {#art_3} Au sens de la présente loi, on entend par : destinataires : les entités administratives, judiciaires et législatives de l'État, ainsi que les foncti ons et les charges qui y sont rattachées, qui doivent faire appel, aux fins d'accomplir leurs tâches, aux données détenues par d'autres entités de l'État ; diffuseurs : les entités administratives, judiciaires et législatives de l'État, et les fonctions et les charges qui y sont rattachées, ainsi que les autorités communales, qui détiennent des données nécessaires à l'accomplissement des tâches des destinataires. Obligations particulières des destinataires et diffuseurs ## Art. 4 {#art_4} 1Les destinataires sont responsables du respect des dispositions relatives à la protection et au maintien du secret des données traitées. 2Les diffuseurs informent les destinataires de l'existence de prescriptions particulières applicables aux données traitées. Données traitées ## Art. 5 {#art_5} 1Hormis les données personnelles, seules les données sensibles entrant dans les catégories suivantes peuvent être traitées par les destinataires, dans la mesure nécessaire à l'accomplissement de leurs tâches : a) les données sur les activités politiques et syndicales ; b) les données sur la santé, limitées aux causes d'absences d'un collaborateur et de leur durée, ou ses besoins particuliers ; c) les données sur l'appartenance religieuse ; d) les données sur les mesures d'aide sociale ou d'assistance ; e) les données sur les poursuites ou sanctions pénales ou administratives. 2Est exclue dans le cadre de la présente loi la transmission de données sur les opinions religieuses, philosophiques, politiques et syndicales ainsi que les données sur les activités religieuses et philosophiques. 3Les autorités fiscales peuvent transmettre les données soumises au secret fiscal nécessaires à l'accomplissement des tâches des destinataires. 4Le Conseil d'État précise quelles données personnelles et sensibles et quelles données soumises au secret fiscal peuvent être transmises conformément à la présente loi. But du traitement I. service en charge des finances ## Art. 6 {#art_6} 1Le service en charge des finances peut traiter les données mentionnées à l'article 5, alinéas 1 et 3, nécessaires à l'accomplissement de ses tâches de recouvrement, de paiement et de comptabilisation. 2Le Conseil d'État précise les tâches nécessitant le traitement de données sensibles et de données soumises au secret fiscal. II. service en charge de la logistique et des acquisitions ## Art. 7 {#art_7} 1Le service en charge de la logistique et des acquisitions peut traiter les données mentionnées à l'article 5, alinéa 1 nécessaires à l'accomplissement de ses tâches de facturation, de comptabilisation, de gestion des commandes de prestations ou de marchandises auprès de tiers ou par des tiers ainsi que de leur suivi. 2Le Conseil d'État précise les tâches nécessitant le traitement de données sensibles. III. service en charge des ressources humaines ## Art. 8 {#art_8} 1Le service en charge des ressources humaines peut récolter et traiter les données mentionnées à l'article 5, alinéa 1, dans la mesure nécessaire à l'accomplissement de ses tâches telles qu’elles découlent de la loi sur le statut de la fonction publique (LSt), du 28 juin 1995[4] et de sa réglementation d’exécution[5]. 2Le service en charge des ressources humaines peut transmettre des données concernant le personnel de l’État aux autorités et fonctions suivantes, dans le seul but de leur permettre d’accomplir leurs tâches telles qu’elles découlent de la LSt et de sa réglementation d’exécution : – Conseil d'État ; – chefs et cheffes de département ; – secrétaires généraux ; – chefs de service ou d'office ; – responsables d'unités administratives ; – cadres désignés par le Conseil d’État. 3Les données traitées sont fournies par les employés eux-mêmes ou leur hiérarchie, sous réserve d'un traitement de données prévu par d'autres lois cantonales ou fédérales. 4Le service en charge des ressources humaines traite les données concernant le personnel des établissements autonomes cantonaux dans la mesure nécessaire à l'accomplissement des tâches de gestion du personnel telles qu'elles lui sont confiées par une loi d'organisation ou un contrat de prestations. 5Le Conseil d'État précise les tâches nécessitant le traitement de données sensibles. Modalités d'accès ## Art. 9 {#art_9} 1Les données du diffuseur, y compris celles soumises au secret fiscal, peuvent être consultées ou récoltées en ligne par le destinataire. 2Chaque utilisateur du fichier central reçoit des droits d’accès personnels et secrets. 3Le Conseil d’État définit les accès aux données personnelles et sensibles, ainsi qu'aux données soumises au secret fiscal, et leurs modalités. Communication ## Art. 10 {#art_10} Le diffuseur peut communiquer les données, y compris les données soumises au secret fiscal, en les introduisant dans le fichier du destinataire ou dans le fichier central. Conservation/ destruction des données ## Art. 11 {#art_11} 1Les données traitées sont conservées aussi longtemps que cela est nécessaire à l'accomplissement des tâches du contrôle cantonal des finances, en sus de celles des services concernés. 2Demeure réservée la loi sur l'archivage (LArch), du 22 février 2011[6]. Historique des transactions ## Art. 12 {#art_12} 1Le service informatique de l'entité neuchâteloise met en place un système de journalisation permettant de contrôler les accès aux données traitées. 2Il met également en place un système de journalisation de la modification des données. Exploitant ## Art. 13 {#art_13} 1Le service informatique de l'entité neuchâteloise est chargé : a) de procéder à l'extraction de données à des fins statistiques lorsqu'il en est requis ; b) de procéder à l'extraction de données sur demande du responsable du fichier ou avec son accord ; c) d'octroyer les droits d'accès conformément à la présente loi et son règlement d'application ; d) de s'assurer que les données sont protégées contre un emploi abusif en prenant des mesures organisationnelles et techniques appropriées ; e) de veiller à l'intégrité, à la disponibilité et à la confidentialité des données ; f) de mettre en place un historique des transactions ; g) de gérer l’infrastructure technique du fichier central ; h) de proposer aux entités désignées par le Conseil d'État conformément à l'article 2, alinéa 3, l’adaptation des normes de sécurité en fonction de l’évolution technologique. 2Il procède à une revue annuelle des droits d'accès. 3Il a accès aux données personnelles et aux données sensibles traitées dans la mesure nécessaire à l'accomplissement des tâches décrites à l'alinéa 1. Exécution ## Art. 14 {#art_14} Le Conseil d'État arrête les dispositions d'exécution. Protection des données ## Art. 15 {#art_15} Les règles sur la protection des données s'appliquent pour le surplus. Modification du droit en vigueur ## Art. 16 {#art_16} La modification du droit en vigueur figure en annexe 1. Référendum ## Art. 17 {#art_17} La présente loi est soumise au référendum facultatif. Promulgation et entrée en vigueur ## Art. 18 {#art_18} 1Le Conseil d'État pourvoit, s'il y a lieu, à la promulgation et à l'exécution de la présente loi. 2Il fixe la date de son entrée en vigueur. Loi promulguée par le Conseil d'État le 22 janvier 2018. L’entrée en vigueur est fixée avec effet au 1er janvier 2018. Annexe 1 MODIFICATION DU DROIT EN VIGUEUR La loi sur le contrôle cantonal des finances (LCCF), du 3 octobre 2006[7], est modifiée comme suit : ## Art. 17a — (nouveau) {#art_17a} Protection des données Le CCF peut accéder en ligne à toutes les données nécessaires à l'accomplissement des tâches mentionnées aux articles 13 à 15 LCCF, y compris les données sensibles et les données soumises au secret fiscal. (*) FO 2017 No 52 [1] RSN 150.30 [2] RSN 631.0 [3] RSN 150.6 [4] RSN 152.510 [5] RSN 152.511 [6] RSN 442.20 [7] RSN 601.3